経産省・新着情報

2023年5月29日

経済産業省は、サイバー攻撃から自社のIT資産を守るための手法として注目されている「ASM(Attack Surface Management)」について、自社のセキュリティ戦略に組み込んで適切に活用してもらえるよう、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介した、「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を作成しました。

1.背景、趣旨

デジタルトランスフォーメーション(DX:Digital Transformation)が進展する中、クラウド利用の拡大に加え、民間事業者が所有するIT資産が増加、点在するとともに、コロナ禍によるテレワークの拡大等を通じて、社会全体でリモート化が進められました。これらにより、サイバー攻撃の起点が増加しています。

こうしたサイバー脅威に対して、自社が保有するIT資産を適切に管理しリスクを洗い出すことが求められますが、人手を介した管理の下では、システム管理部門の把握しきれないシステムが生じやすく、機器の実際の設定も見えづらいことなどから、自社の全てのIT資産を管理するのは必ずしも容易ではありません。一方で、IT資産について、外部(インターネット)から把握できる情報を用いた管理サービスを利用することで、既存の管理方法を補完することが可能となっていることから、このような管理サービスの提供が広がっています。

そこで、外部(インターネット)から把握できる情報を用いてIT資産の適切な管理を可能とするツールやサービスを活用して、外部(インターネット)に公開されているサーバやネットワーク機器、IoT機器の情報を収集・分析することにより、不正侵入経路となりうるポイントを把握するASM(Attack Surface Management)について、民間事業者における利用の実態を明らかにし、ASMに関連する各種ツールやサービスの特徴や活用方法について整理し、ガイダンスとして取りまとめました。

2.ガイダンスのポイント

  • ASM(Attack Surface Management)は、組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス。
  • ASMの継続的な実施により、組織管理者の未把握の機器や意図しない設定ミスを攻撃者視点から発見でき、脆弱性管理活動において、リスク低減の効果が期待される。
  • ASMはリスク低減効果が期待される一方で、収集・分析する情報の不確実性等の実施にあたっての留意点が存在する。
  • ASMの導入を検討している企業に向けて、ASMの基本的な考え方や特徴、留意点などの基本情報に加え、取組事例がまとめられている。

関連資料

担当

商務情報政策局 サイバーセキュリティ課長 奥田
担当者:星、竹内 
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※ [★]を[@]に置き換えてください。

発信元サイトへ